Банки

Равнение на стандарт

Эксперты Банка России рассуждают о рисках в области информационной безопасности, которые в условиях кризиса резко возросли.
264 1

Эксперты Банка России рассуждают о рисках в области информационной безопасности, которые в условиях кризиса резко возросли

Проблема информационной безопасности состоит не только в том, чтобы защитить персональные данные. Организациям нужно защищать любую информацию, циркулирующую во внутренних сетях. Вот показательные цифры: объем «рынка» киберпреступности в 2007 году оценивался в $100 млрд. А ущерб от промышленного шпионажа для тысячи крупнейших компаний мира составил $45 млрд - это прямые и косвенные потери. В США, к примеру, темпы роста расходов на информационную безопасность превышают расходы на IT в 3 раза. А в России - всего лишь на 15%. Это говорит о том, что информационное общество в стране еще недостаточно развито. Хотя в некоторых отраслях ситуация иная, в том числе и в банковском секторе.

Михаил Сенаторов

Заместитель председателя Банка России

Исследования показывают, что очень многие руководители не относят обеспечение информационной безопасности к числу приоритетных задач. Не осознают ту опасность, с которой сталкиваются. Конечно, она не ощущается прямым восприятием человека. Это не кисло, не сладко, это никак. Среди ведущих компаний мира доля руководителей, которые не контролируют свои базы данных, не ставят подчиненным соответствующие задачи, составляет около 40%. А доля нарушений, совершенных сотрудниками или контрагентами, повысилась до 70%.
   Понятно, что в условиях нынешней экономической ситуации вопросы информационной безопасности становятся еще более важными: обостряется проблема инсайдеров. Из организаций уходят сотрудники, которые нередко перед увольнением осуществляют злонамеренные действия. Все мы знаем о том, что в последнее время участилось количество атак на банковские счета. Наиболее популярные мошенничества в банковской сфере за последнее время - изъятие данных кредитных карт с целью похищения средств, получение сведений о банковских счетах и проведение по ним несанкционированных операций.
   Только техническими средствами проблему информационной безопасности решить невозможно. Защита корпоративных систем на 40% зависит от организационных мероприятий, на 30% -от морально-нравственного состояния общества и общекультурного уровня пользователя. И только на «последние» 30% - от тех технических решений, которые применяются. Особенно важно понимать, что без жесткой технологической дисциплины обеспечить информационную безопасность очень сложно. Если же говорить об ее развитии в банковской сфере, то систему целесообразно строить на основе разработанного Банком России Стандарта. Это проработанный документ, который на протяжении нескольких лет дополняется и развивается.
Все помнят что, когда 15 лет назад мы только начинали заниматься банковской безопасностью, то в первую очередь беспокоились об инкассаторах. И только через 5 лет начали говорить о проблемах IT. Если сейчас заглянуть в криминальные сводки, можно вновь обнаружить сообщения о нападениях на инкассаторов. Это не значит, что мы вернулись в начало, просто преступники всегда ищут более слабое место в обороне. И значит, с точки зрения IT-технологий ситуация улучшилась. Можно считать, что по этому «предмету» криминалитет выставляет нам твердую четверку.

Александр Лахтиков

Начальник ГУБЗИ Банка России

Инциденты по части безопасности всегда будут - логика жизни такова. Ясно и то, что оборона всегда запаздывает, а нападение действует на опережение и по определению более агрессивно. Конечно, хотелось бы почувствовать свою профессиональную ненужность, но нам это не грозит. И системы по IT-безопасности, которые мы выстраиваем, не могут быть безупречными; нельзя сказать, что когда-нибудь этих рисков не будет. Они будут, но при этом система должна быть выстроена так, чтобы в случае необходимости затрагивать минимальное время на восстановление. А вот это уже зависит от нас с вами.
   Вопросы по информационной безопасности сейчас весьма актуальны. И многие это понимают. Нам, в частности, удалось добиться того, что высшее руководство ЦБ РФ на совете директоров обсуждает эти темы. Это не значит, им делать нечего, просто они заинтересованы в решении соответствующих проблем. И, между прочим, это показатель зрелости системы. И если кто-то из руководителей кредитных организаций не посвящен в тему, я бы настоятельно рекомендовал специалистам служб безопасности потратить время и силы на изменение ситуации. Это сторицей окупится.
   Злободневная проблема сейчас - риски несоответствия. Со следующего года в силу вступает закон «О персональных данных», и кредитным организациям уже пора подумать о том, как соответствовать новым требованиям. От этого никуда не денешься. Мы со своей стороны заинтересованы не только в совершенствовании контроля, но и в обратной реакции, мы хотим наладить диалог с банками и совместно приходить к решению проблем. Понимаю, что к Стандарту Банка России можно относиться по-разному, можно его хвалить, можно ругать. Но вряд ли стоит спорить по поводу того, нужен он или нет. Надо исходить из того, что принципы и подходы уже сформулированы, что закон уже есть. Поэтому странными кажутся вопросы о том, будет ли Стандарт обязательным. Банки должны для себя решить, что он уже обязательный. И когда регулирующие органы сделают его таковым, вы будете подготовлены.

акцент

Защита корпоративных систем на 40% зависит от организационных мероприятий, на 30% от морально-нравственного состояния общества и общекультурного уровня пользователя. И только на «последние» 30% - от тех технических решений, которые применяются.

Какие цели стоят перед службами безопасности кредитных организаций? Во-первых, это снижение уровня криминальных рисков. Во-вторых, повышение качества работы. Ориентир здесь - минимум затрат при максимуме эффективности. В-третьих, взаимодействия с регуляторами. Не менее важен вопрос стандартизации контроля безопасности. Если мы не стандартизируем оценку собственной деятельности, то оценить ее будет просто невозможно. Классический пример -если мы будем измерять расстояние от Москвы до Петербурга в километрах, а до Воронежа - в милях, мы ничего не сможем сравнить. Стандарты должны быть, причем одинаковые.
Особенность текущего момента, как мы все понимаем, заключается в финансовой нестабильности. Она сказывается и на нашей деятельности, и на деятельности кредитных организаций. Последние исследования показывают, что расходы банков на содержание работников служб безопасности практически не уменьшились. И о массовых увольнениях этих
специалистов я не слышал. Хотелось бы надеяться, что так оно будет и в дальнейшем. Потому что разрушить систему безопасности легко, а создать ее - чрезвычайно сложная задача. Понятно, что в условиях кризиса от чего-то приходится отказываться. Так вот — лучше сосредоточиться на управлении и эксплуатации тех систем, которые есть. Если они уже созданы, если они эффективны, они могут оставаться таковыми в течение нескольких лет. С модернизацией можно подождать.

Андрей Курило

Заместитель начальника ГУБЗИ Банка России

Какие риски наиболее остро ощущаются? Риск инсайдерства в нынешней сложной экономической ситуации возрастает, и тому есть печальные примеры. Также увеличиваются риски несоответствия законам. Это большая проблема, ее разрешение стоит приличных денег. Но делать это необходимо. И конечно, нельзя не отметить явную неготовность банковской системы к выполнению требований закона «О персональных данных». Никому скидок не будет, обратный отсчет пошел. С 1 января 2010 года возникнут риски административного характера. И это надо учитывать.
   Мы провели экспресс-исследования на тему информационной безопасности, опросили кредитные организации. Выяснилось, что в 50% российских банков отсутствуют специалисты по информационной безопасности в принципе. Да, какие-то функции выполняются дистанционно, но все это носит фрагментарный характер. В 42% структур функции ложатся на плечи IT-специалистов в качестве дополнительной нагрузки. И только в 8% банков существуют службы по информационной безопасности. И появляется вопрос, как выполнять закон «О персональных данных» в организации, в которой нет ни одного человека, разбирающегося в теме. Это невозможно. А закон исправлять нам никто не даст.

Начать дискуссию

Кадровый аутсорсинг: в чем выгода

Штрафы за неправильное ведение кадрового делопроизводства достигают в некоторых случаях 200–500 тыс. руб., а проверки ГИТ в последнее время происходят все чаще. 

Кадровый аутсорсинг: в чем выгода

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Верховный суд: ВТБ будет платить НДС за лицензии Microsoft

Поставщик программного обеспечение выиграл суд с банком ВТБ. После изменения налогового законодательства ему пришлось заплатить НДС по сублицензионному договору. Теперь программный НДС будет возмещать ВТБ.

Часть команды, часть корабля? Как теперь сотрудничать с самозанятыми без штрафов и доначислений в налоговую: 3 совета от юриста

С первого марта вступил в силу новый приказ Минтруда, и он серьезно затронет ваш бизнес, если вы работаете с самозанятыми. Государство решило заняться теми, кто пытается обходить налоги, и ваши отношения с самозанятыми исполнителями будут под особым контролем.

Лучшие спикеры, новый каждый день

До 1 апреля надо сдать бухотчетность за 2023 год

Организации на всех режимах налогообложения должны сдавать бухгалтерскую отчетность не позднее 3-х месяцев после окончания отчетного года. Крайний срок сдачи за 2023 год – 01.04.2024 включительно.

ПСН

🔨 ИП на ПСН должен сам оказывать услуги, а не перезаказывать их у других ИП. Эксперт: достаточно спорная позиция Минфина

Заключение предпринимателем договоров субподряда с другими ИП не вписывается в рамки патента.

97

Кредиты и не только: способы финансирования предпринимателей

В 2023 году количество малых и средних предприятий в России увеличилось на 500 тыс. — до 6,3 млн. Это стало рекордом за всю историю существования реестра МСП.

Кредиты и не только: способы финансирования предпринимателей
Опытом делятся эксперты-практики, без воды

ТОП-15 курсов по 1С:Документоборот (делопроизводство) в 2024 году

В этой статье мы собрали платные и бесплатные курсы по 1С:Документообороту.

ТОП-15 курсов по 1С:Документоборот (делопроизводство) в 2024 году
Банки

Клиенты ВТБ будут получать кешбэк в рублях

ВТБ по программе мультибонусов будет начислять кешбэк в реальных рублях. Клиенты могут установить избранные категории товаров для получения повышенных бонусов до 25% с покупок.

🏃 Какие выплаты положены работнику при увольнении переводом. Эксперт: допвыплаты на уровне закона были бы странными

Если сотрудник увольняется переводом к другому работодателю, то никаких выходных пособий и компенсаций в ТК за это не предусмотрено.

143

Руководители рассказали, почему готовы отказаться от должности. Исследование

Больше трети руководителей в России готовы отказаться от своей должности, чтобы начать строить карьеру в новой профессии.

Инвесторы жалуются на «Лукойл» из-за сокрытия финансовой отчетности

Компания в отчетности по МСФО за 2023 год не сравнила результаты с прошлым годом, ссылаясь на постановление, которое перестало действовать.

Электронный документооборот в сфере строительства: зачем он нужен современному предприятию 

Перевод бизнес-процессов в цифровое поле — больше, чем просто тренд. Это принятие вызовов времени и необходимость для тех компаний, которые ориентированы на масштабирование и активное развитие.

Электронный документооборот в сфере строительства: зачем он нужен современному предприятию 
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Верховный Суд поддержал рекомендации Роспотребнадзора обеспечивать водой и спецодеждой работающих в жару

ВС РФ признал законными Рекомендации по работе в условиях сильной жары и повышенных температур, изданные Роспотребнадзором.

Бесплатно с Кадры

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами

Обо всех изменениях кадрового законодательства, нововведениях в ТК, нюансах заполнения ЕФС-1 и новых формах налоговой отчетности рассказываем в мини-курсе.

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами

Обновления на «Клерке». Все уже заметили?

Даже самый качественный сайт со временем устаревает. Нужны обновления и модернизация. Сегодня на «Клерке» все это произошло. Кто самый наблюдательный? Кто заметил? Что бы вы еще хотели поменять?

Обновления на «Клерке». Все уже заметили?

Прокуратора может изъять акции «Макфы» в пользу государства

Прокуроры доказывают в суде, что производство макаронных изделий под брендом «Макфа» имеет коррупционное происхождение. Их бенефициары вели бизнес, работая в органах госвласти.

104
ЭДО

Минтранс хочет провести эксперимент с переходом на ЭДО грузоперевозок на всех видах транспорта

Проведение эксперимента по переходу на электронный документооборот затронет грузоперевозки автомобильным, морским, речным, железнодорожным и воздушным видами транспорта.

Что ест бухгалтер. Давно не ели десертов

Лекарство от негатива. Тирамису — самый популярный в мире десерт.

Что ест бухгалтер. Давно не ели десертов
135
Банки

Приложение Райффайзенбанка снова работает

Специалисты устранили внутреннюю техническую ошибку, которая не позволяла клиентам отправить деньги.

Интересные материалы

Как нанять толкового бухгалтера в компанию: рекомендации экспертов

Ошибки бухгалтера приводят организацию к лишним затратам и огромным штрафам, а в особенно тяжелых случаях могут довести до ликвидации компании. Как же не допустить этого и нанять хорошего специалиста? Составили инструкцию для руководителей с комментариями наших экспертов.

Как нанять толкового бухгалтера в компанию: рекомендации экспертов
2
99